基本概念
了解信息、信息安全管理、信息安全管理体系等基本概念
信息安全管理的作用及对组织的价值
理解信息安全管理的作用,对组织内部和组织外部的价值
信息
企业:对用户的信息保护为新的关注点
用户:用户将安全作为选择服务的重要根据之一
攻击者:不起眼的数据对攻击者可能价值很高,倒闭企业和个人更关注信息安全
信息安全管理
信息安全管理是组织管理体系的一个重要环节
信息安全管理体系
组织管理体系的一部分
基于风险评估和组织风险接受水平
信息安全管理的作用
信息安全管理是组织整体管理的重要、固有组成部分,是组织实现其业务目标的重要保障
信息安全管理是信息安全技术的融合剂,保障各项技术措施能够发挥作用
信息安全管理能预防、阻止或减少信息安全事件的发生
对组织的价值
对内
对外
风险管理概述
了解信息安全风险、风险管理的概念
理解信息安全风险管理的作用和价值
常见风险管理模型
了解COSO报告、ISO31000、COBIT等风险管理模型的作用
安全风险管理基本过程
理解风险管理的背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询六个方面的工作目标及内容
风险:事态的概率及其结果的组合
风险是客观存在
风险管理是指导和控制一个组织相关风险的协调活动,其目的是确保不确定性不会使企业的相关业务目标发生变化
风险的识别、评估和优化
风险管理的价值
安全措施的成本与资产价值之间的平衡
(基于风险的思想是所有信息系统安全保障工作的核心思想)
内部控制整合框架(COSO报告)
三个目标:财务报告可靠性、经验效率和效果、合规性
五个管理要素:内置环境、风险评估、控制活动、信息与沟通、监控
ISO31000
为所有与风险管理相关的操作提供最佳实践结构和指导
COBIT
为信息系统和技术的治理及控制过程提供最佳实践
组件:框架、流程描述、控制目标、管理指南、成熟度模型
GB/Z 24364《信息安全风险管理指南》
四个阶段
两个贯穿
背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析
风险管理准备:确定对象、组件团队、制定计划、获得支持
信息系统调查:信息系统的业务目标、技术和管理上的特点
信息系统分析:信息系统的体系结构、关键要素
信息安全分析:分析安全要求、分析安全环境
信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动
风险评估准备:制定风险评估方案、选择评估方法
风险要素识别:发现系统存在的威胁、脆弱性和控制措施
风险分析:判断风险发生的可能性和影响程度
风险结果判定:综合分析结果判定风险等级
风险处理是为了将风险始终控制在可接受的范围内
现存风险判断:判断信息系统中哪些风险可以接受,哪些不可以
处理目标确认:不可接受的风险需要控制到怎样的程度
处理措施选择:选择风险处理方式,确定风险控制措施
处理措施实施:制定具体安全方案,部署控制措施
批准:是指机构的决策层根据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定
监督:是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否可能引入新风险
监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失,保证信息安全风险管理主循环的有效性
(类似信息系统工程中的监理)
通过畅通的交流和充分的沟通,保持行动的协调和一致;通过有效的培训和方便的咨询,保证行动者具有足够的知识和技能,就是沟通咨询的意义所在
信息安全管理体系成功因素
理解GB/T 29246-2017中描述的信息安全管理体系成功的主要因素
PDCA过程
理解PDCA过程模型的构成及作用
了解ISO/IEC 27001:2013中定义的PDCA过程方法四个阶段工作
信息安全管理体系
组织在整体或者特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程的资源集合
信息安全策略、目标和与目标一致的活动
与组织文化一致的,信息安全设计、实施、监视、保持和改进的方法与框架
来自所有管理层级、特别是最高管理者的可见支持和承诺
对应用信息安全风险管理实现信息资产保护的理解
标签: 信息安全与管理
